信息安全基线规范

信息安全基线规范篇一：Windows 系统安全基线要求Windows 系统安全基线要求 篇二：安全基线 安全基线项目 项目简介： 安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。安全基准项目在 NIST、CIS、OVAL 等相关技术的基础上，形成了一系列以最佳安全实践为标准的配置安全基准。 二. 安全基线的定义 安全基线的概念 安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题 的先决条件。 安全基线的框架 在充分考虑行业的现状和行业最佳实践，并参考了运营商下发的各类安全政策文件，继承和吸收了国家等级保护、风险评估的经验成果等基础上，构建出基于业务系统的基线安全模型 如图所示： 图 基线安全模型基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构： 1.第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安 全防护的要求，是一个比较宏观的要求。 2.第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块，这些模块针对业务层定义的安全防护 要求细化为此层不同模块应该具备的要求。 3.第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，如将操作系统可分解为Windows、Solaris 等系统模块，网络设备分解为华为路由器、Cisco 路由器等系统模块?这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的 要求，称为 Windows 安全基线、华为路由器安全基线等。 下面以运营商的 WAP 系统为例对模型的应用进行说明：首先 WAP 系统要对互联网用户提供服务，存在互联网的接口，那么就会受到互联网中各种蠕虫的攻击威胁，在第一层中就定义需要防范蠕虫攻击的要求。蠕虫攻击的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在可能的影响，因此在这些不同的模块中需要定义相对应的防范要求，而针对这些防范要求，如何来实现呢？这就需要定义全面、有效的第三层模块要求了。针对不同类型蠕虫病毒的威胁，在 Windows、Solaris 等系统的具体防范要求是不一样的，第三层中就是针对各种安全威胁针对不同的模块定义不同的防护要求，这些不同模块的防护要求就统一称为 WAP 业务系统的安全基线。针对WAP 业务系统安全基线的检查，就可以转化为针对操作系统、网络设备等的脆弱性检查上面。安全基线的内容 根据业界通行的一些安全风险评估方法及运营商日常安全维护经验，我们将安全基线的内容分为三个方面：1）系统存在的安全漏洞。2）系统配置的脆弱性。3）系统状态的检查。业务系统的安全基线由以上三方面必须满足的最小要求组成。具体组成如图所示： 图 安全基线的组成 具体来说，安全基线的三个组成部分分别为： 1) 漏洞信息：漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险，一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性。由于漏洞信息由相应的国际标准，如 CVE（Common Vulnerabilities through traditionally collecting the logs of machines and analysising logs and then locating the problems, is a passive defense, which also bring a great challenge for the information security work of government and enterprises. The information security monitoring platform can effectively improve the ability of government and enterprises to supervise the information security events, in order that their constructions of information security management system will meet the requirement of the nations information security system. This paper illustrate the overall design of the information security supervision and control platform based on the theory of the security baseline on aspects such as needs analysis, the platform objectives, the design of the functions, etc. By applying this platform, the controllability of information security will be greatly improved and operation and maintenance costs will be reduced by active defense. Key words: security baseline; information security supervision and control 摘 要：随着信息化建设的深入发展，在合规性要求日益显著的今天，传统的通过采集设备日志、综合分析日志信息来发现并定位已发生安全事件的被动式安全防御模式已经很难适应当前信息化发展水平，这对政府及企事业单位的信息安全建设工作带来了极大的挑战。采用安全基线理论为理论基础设计的信息安全监管平台通过综合管控措施，实现信息安全主动防御，能有效的提高政府及企事业单位对信息安全的监控能力，使其信息安全保障体系建设一方面适应自身信息化建设发展的需要，另一方面能够满足国家、行业更层面信息安全合规性的要求。本文从需求分析、平台目标、功能模块设计等方面阐述了基于安全基线理论的信息安全监管平台的总体设计。通过对该平台的应用，可以极大限度地提高政府及企事业单位信息安全的可控性及可管理性，提供相关部门信息安全管理工作的效率和绩效，实现信息安全真正的长治久安。 关键词：安全基线；信息安全监管 1 引言 随着信息化的发展，信息安全大致经历了三个阶段：以强调信息保密性为主的通信安全阶段；以强调信息的保密性、完整性、可用性为主的信息安全阶段；以可控性、可管理性、不可否认性为原则和目标的信息保障阶段。系统的日趋复杂，为可控性不断提出挑战。 目前大部分政府及企事业单位主要以应用需求为出发进行信息化建设，缺少合理规划，一旦出现问题往往都是被动建设的局面。作为政府及企事业单位的信息主管部门，其安全职责之一必须保障安全问题和事件的检测的告警信息的准确有效。基于安全基线理论的信息安全监管平台融合国际、国内以及行业的相各种合规性要求，建立安全基线，以基线为基础进行全面安全管控，提升安全管理和防护水平，降低信息安全问题对 IT 系统的影响。能帮助政府及企事业单位获得贯穿各个运维环节、面向各层人员的信息安全管理能力。 2 需求分析 在过去几年中，随着信息技术的不断发展，信息化进程也日益加快。特别是网络时代的来临，很多政府及企事业单位对自身的信息系统做了大量的安全建设和投入，其信息系统结构日益复杂，网络设备日趋多样化，日常使用和运维工作成为难题，不断衍生的信息安全管理新需求无法实现，信息安全监管任务变得日益繁重，传统的监管手段已经难以满足新形势下的信息安全监管的需要。 一方面，政府及企事业单位现阶段安全建设的主要内容仍集中在安全设备的采购。这些安全产品来自不同的厂商，相互之间各行其是、管理孤立，缺乏统一有效的管理手段，使用户无法对 IT 系统中所发生的各类事件进行集中的采集、存储和审计分析处理；另外这些设备产生了海量的日志及报警信息，目前市场上传统的设备通过收集海量日志，对日志进行统计分析难以较好的对安全进行管控，其中无用、甚至错误的安全报警信息不断困扰着运维人员，降低了安全运维效率的同时也增加各类安全问题和故障发生的可能性，再者单位内部深层次、潜在的安全隐患很难被及时的发现并有效地处理。 另一方面，作为我国基本信息安全制度的信息安全基线 GB/T 22239信息系统安全等级保护基本要求明确规定： 第三级及以上等级系统“应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 ” GB/T 24856信息系统安全等级保护安全技术设计要求中提出： 第二级及以上等级系统“系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和安全管理中心组成。 ”但是政府及企事业单位的信息安全管理体系建设必须在融合国际、国内以及行业的相关标 准的基础上，着手建设政府及企事业单位自身的信息安全合规目标和体系。基于上述考虑，本文将研究基于安全基线理论的信息安全监管平台，设计一款定位于安全监督、安全基线设置及测量的支撑性工具。 安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。构造信息系统安全基线己经成为系统安全监管的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。围绕着安全基线的建立、测量、配平等相关工作的开展，信息安全建设部门能够主动建立满足其自身安全需要，同时适应各层面合规性要求的安全防护体系，并可以随着外界信息安全环境的变化以及内部信息系统的发展，实时评估现有防御手段的可用性、复合程度，并根据拟定基线的基本要求，适时调整相应安全措施，使信息系统具备抵御外部威胁的能力。 安全监管平台是安全基线理论政府及企事业单位中实施的重要辅助性支撑工具，平台能够适应信息安全管理人员安全监控工作的需要，提供辅助的工具能有效解决设备间无法通信而带来的信息孤岛的问题，使用户清晰明了的掌握自身的安全状况，并通过各种辅助性手段对信息系统形成统一有效的信息安全监管。 3 平台目标 信息安全监管平台面向业务，以安全基线的设立、测量、配平的全流程为中心，通过基线设置、安全评估、策略配置、设备监控、审计预警、态势评估、安全应急响应的全流程管理，实现安全监管平台。采取一种主动的防御思路，即不管外界怎么攻击，外面有哪些威胁，按照最佳实践，国家信息安全相关要求，建设安全防护体系，并适时调整基线，达到能够防御的作用。它将集安全监控、资产管理、拓扑自动发现、安全配置获取、自动化测量、密码管理、安全应急管理、安全培训管理、工单管理、安全管理体系管理、关联分析、安全事件管理等多功能于一体。平台可为用户建立可靠可用的安全基线，并在此基础之上对系统进行评估，并根据评估报告得出安全加固建议。从而帮助互用建立一个可靠可用的安全保障体系。重点在于将原有仅针对某一方面的安全系统整合起来，并且与用户现有网络中的各种 IT 资源及其所承载的业务系统紧密结合，面向客户的业务信息系统构建起一个全局性的态势感知网络，让安全管理者能够从业务全局的角度了解安全的整体运行状态，并且进行集中化的安全监控与安全事件处理。 4 平台功能模块设计根据需求分析，可以得到信息安全监管平台的主要功能，如图 1，在整个产品功能框架里，最核心的是综合监控、配置获取、安全基线、安全测量四个部分。通过SysLog、SNMP 等采集实时数据以实现配置获取，全面了解系统的安全现状；通过平台的知识库，获取系统的安全基线，安全管理的基础，就是能够看到具体设备、链接状况，配置情况，配置是否合规。或者换一个角度来说，按照相关标准（信息安全等级保护、ISO27001）进行关键设备的配置，并能够感知和获得配置，形成全面展现；通过安全测量发现系统存在的安全漏洞，并通过多次安全测量的结果，梳理出系统的变化趋势。 ；对外提供配置、监控、审计、评估、响应接口，通过 SSH、Telnet 等对外部设备进行策略调整和管理，以达到综合监控的目的。 图 1 信息安全监管平台功能架构图 （1）安全基线管理：针对不同行业、不同用户对安全要求的不同，该工具采用了安全基线作为安全检查与整改的标准依据。安全基线的确定分为三个方面：系统存在的安全漏洞、系统配置的脆弱性、系统状态的检查。业务系统的安全基线由以上三方面必须满足的最小要求组成。调整基线即可满足用户的不同安全要求，适应多种应用环境下的安全检查与整改。能有效的解决测评基线的制定，避免基线过高导致的资源浪费和限制过度；或基线过低导致难以达到充分的安全等问题。 （2）安全测量：根据所拟定的安全基线，比对政府及企事业单位信息安全技术和管理两方面的现状，通过等保测评、风险评估或者渗透测试等手段的组合，不同的层面抽取不同的测量指标，度量系统现状与 信息安全基线之间的差距，并为后续的信息系统整改加固提供数据依据。（3）综合监控：汇总各类安全事件，并对事件进行汇总分析，根据预先定义好的安全基线模板，对设备安全状态及配置进行分析，对超出基线的行为进行告警，对安全运维管理指标，进行实时的数据汇总和分析呈现，并提供分期间、分业务、分运维职能的管理指标监控呈现功能。（4）工单管理：内置工作流引擎，提供标准化的工单模板，可以自动根据安全事件产生相应的工单，并派发给对应的安全管理员，有效的提高工单流转效率，降低流转协调成本，对工单管理进行过程控制，降低人为操作等原因造成的安全事件发生率，实现了自动化的安全运维流程管理。并且支持完善的派发、跟踪、记录、关闭等流程，保证安全管理闭环的实现。 （5）配置获取（下发）：利用Syslog、trap、Agent、Snmp、数据库、文件采集等手段，对被管范围内所有的网络设备、安全设备、应用系统、主机、数据库等设备获取相关配置，产生的海量事件进行统一的采集，准确发现和定位系